Der Web-Security-Dienst
Die Gefahr
Vermehrt wird in den Medien über die Gefahren berichtet, den Computer beim Besuch einer Webseite mit Malware (Viren etc.) zu infizieren. Ein bekanntes Beispiel war die Meldung vom 18. Februar 2013, in der über die Kompromittierung der Homepage der Deutschen Sparkasse berichtet wurde und im Zuge dessen es den Angreifern gelang, Malware im Namen einer vertrauenswürdigen Institution zu verbreiten:
Die Schwachstellen
Neben den bekannten Methoden der Malware-Verbreitung über „verseuchte“ E-Mail-Anhänge oder USB-Sticks finden zunehmend Infektionen über sogenannte Drive-by-Downloads statt. Dabei reicht es aus, eine kompromittierte Webseite „anzusurfen“. Eine weitere Aktion des Anwenders, etwa durch gezieltes „Klicken“ auf einen Webinhalt, ist dabei nicht notwendig. Der Angreifer platziert auf der Webseite, für den Besucher unsichtbar, einen sogenannten IFRAME, der auf einen Server des Angreifers verweist. Beim Laden der normalen Webseite wird nun parallel der „bösartige“ Link aufgerufen. Die ungewollt aufgerufene Seite ermittelt nun für den Anwender unbemerkt, welchen Browser er benutzt, dessen Version, die verwendeten Plugins und weitere Informationen. Danach überprüft er die so erhaltenen Ergebnisse auf bekannte Schwachstellen. Bei einem positiven Treffer wird ein sogenannter „Exploit“ angeboten. Ist dieser erfolgreich, wird der eigentliche Schadcode nachgeladen.
Zu beachten ist , dass immer mehr „seriöse“ Seiten betroffen sind und dabei im Gegensatz zu herkömmlichen Methoden nicht das Betriebssystem, sondern Anwendungen auf dem Computer angegriffen werden. Besonders kritisch sind dabei Anwendungen zu sehen, die fast täglich mit Warnungen vor neu entdeckten Schwachstellen Schlagzeilen machen. Hier sind im Speziellen die weitverbreiteten Produkte Adobe Flash und Oracle/Sun Java zu nennen.
Der Schutz
Das ZIMT setzt eine Sicherheitslösung der Firma Cisco/Ironport ein, die vor den o.g. Gefahren schützen soll. Die Webanfragen werden dabei auf einen speziellen Proxy, die Web Security Appliance (WSA), umgeleitet. Diese ermittelt mit Hilfe eines zweistufigen Sicherheitskonzepts, ob die angeforderte Webseite Malware-behaftet ist. Zuerst wird über eine Datenbank ein sogenannter Reputationswert abgefragt. Dieser wird aus mehr als fünfzig Faktoren gebildet und soll Auskunft geben, ob es sich um eine „gute“ oder „schlechte“ Seite handelt. Sinkt der Wert unter eine gewisse Schwelle, wird der Zugang zu der Seite automatisch geblockt. Der Anwender erhält in diesem Fall eine Warnmeldung mit zusätzlichen Informationen, u.a. warum die Seite nicht angezeigt wurde.
Sollte die Einstufung in „gut“ oder „schlecht“ nicht eindeutig möglich sein, wird der Inhalt der aufgerufenen Seite geladen. Dabei wird jeder Teil der Web-Seite durch die WSA auf Viren überprüft.
Es ist auch möglich, dass nur einzelne Teile einer Seite geblockt werden.
Zusätzlich zu dem Schutz vor den bereits erwähnten Bedrohungen bietet die WSA Schutz vor Adware und Tracking Cookies, mit deren Hilfe das Surfverhalten des Anwenders ausspioniert werden soll.
Die Web Security Appliance arbeitet für den Anwender transparent im Hintergrund (außer natürlich, die aufgerufene Seite wird geblockt, um eine potentielle Gefahr abzuwehren). Es sind keine Einstellungen im Browser des Anwenders nötig. Zusätzlich bleibt der Anwender auf dem Webserver weiterhin mit seiner eigenen IP-Adresse sichtbar.
Der Probebetrieb
Der Web Security Dienst wird seit ca. einem Jahr in mehreren Netzen der Universität Siegen getestet. Nur vereinzelt kam es zu Rückmeldungen über Probleme bei der Erreichbarkeit bestimmter Webseiten. Daher wird im nächsten Schritt das eduroam-Netz mit in den Testbetrieb aufgenommen.